Batchnetzwerke

In diesem Dokument werden die Netzwerkkonzepte für Batch beschrieben, einschließlich der Netzwerkoptionen, des Zeitpunkts der Konfiguration des Netzwerks und der Funktionsweise.

Netzwerkoptionen

Netzwerkoptionen steuern, wie Batch mit anderen Quellen wie dem Internet und anderen Google Cloud-Ressourcen und -Diensten verbunden ist.

Batch bietet die folgenden Netzwerkoptionen:

• Geben Sie das Netzwerk für einen Job an oder verwenden Sie das Standardnetzwerk.
• Verwenden Sie zusätzliche Netzwerkeinschränkungen:
  • Blockieren Sie externe Verbindungen für Laufzeitumgebungen von Jobs, entweder alle VMs oder bestimmte Container.
  • Schützen Sie Batchressourcen und -daten mit VPC Service Controls.

Weitere Informationen zum Bestimmen der Netzwerkoptionen, die für Batch verwendet werden sollen, finden Sie in diesem Dokument unter Wann muss ich das Netzwerk konfigurieren?. Weitere Informationen zu den Netzwerkkonzepten für jede Option finden Sie in diesem Dokument unter Funktionsweise von Netzwerken.

Wann Sie das Netzwerk konfigurieren sollten

In diesem Abschnitt erfahren Sie, ob Sie das Netzwerk bei Verwendung von Batch oder der Standardnetzwerkkonfiguration konfigurieren müssen.

In den folgenden Fällen müssen Sie das Netzwerk für Batch konfigurieren:

• Wenn Ihr Projekt oder Netzwerk VPC Service Controls verwendet, um den Netzwerkzugriff für Batch einzuschränken, müssen Sie das Netzwerk gemäß der Dokumentation VPC Service Controls mit Batch verwenden konfigurieren.
• Wenn die Einschränkung der Organisationsrichtlinie compute.vmExternalIpAccess erfordert, dass Ihr Projekt VMs ohne externe IP-Adressen erstellt, oder wenn Ihr Netzwerk den privaten Google-Zugriff verwendet, müssen Sie Jobs erstellen, die den externen Zugriff für alle VMs blockieren.

• Wenn Sie das Standardnetzwerk nicht verwenden können oder müssen, müssen Sie das Netzwerk für Jobs angeben.

  Um herauszufinden, ob Sie das Standardnetzwerk für einen Job verwenden können, prüfen Sie Folgendes:

  • Das Standardnetzwerk ist für Ihr Projekt vorhanden. Neue Google Cloud-Projekte enthalten automatisch das Standardnetzwerk, es sei denn, die Einschränkung der Organisationsrichtlinie compute.skipDefaultNetworkCreation ist aktiviert.
  • Das Standardnetzwerk unterstützt Ihre spezifischen Netzwerkanforderungen. Wenn das Standardnetzwerk für Ihr Projekt geändert wird, treten bei Ihnen oder anderen Nutzern möglicherweise Probleme auf. Weitere Informationen zum Standardnetzwerk finden Sie in diesem Dokument unter Standardnetzwerkkonfiguration.

Auch wenn es nicht erforderlich ist, sollten Sie das Netzwerk möglicherweise so konfigurieren, dass die Sicherheit Ihrer Batchressourcen und Daten verbessert wird. Wenn Sie beispielsweise die Sicherheit für Jobs verbessern möchten, die Container verwenden, und nicht den externen Zugriff für alle VMs blockieren, können Sie optional Jobs erstellen, die den externen Zugriff nur für einen oder mehrere Container blockieren. Die Verwendung eines nicht standardmäßigen Netzwerks oder zusätzlicher Netzwerkeinschränkungen kann Ihnen dabei helfen, die Prinzipien der geringsten Berechtigung zu implementieren. Weitere Informationen zu den Optionen, mit denen Sie das Netzwerk für Batch konfigurieren können, finden Sie in diesem Dokument unter Funktionsweise von Netzwerken.

Wenn Sie kein Netzwerk benötigen oder konfigurieren möchten, können Sie einen Job erstellen, ohne Netzwerkoptionen anzugeben und die Standard-Netzwerkkonfiguration zu verwenden.

Funktionsweise von Netzwerken

In den folgenden Abschnitten werden die Netzwerkkonzepte für Batch erläutert:

• Jobnetzwerk
• Zusätzliche Netzwerkeinschränkungen
• Standard-Netzwerkkonfiguration

Jobnetzwerk

Jeder Job wird auf virtuellen Compute Engine-Maschinen (VMs) ausgeführt, die Teil eines VPC-Netzwerks (Google Cloud Virtual Private Cloud) und eines Subnetzes dieses Netzwerks sein müssen.

VPC-Netzwerke verbinden VMs mit anderen Quellen, z. B. mit dem Internet und anderen Google Cloud-Ressourcen und -Diensten. Jedes Netzwerk besteht aus mindestens einem Subnetzwerk, auch als Subnetz bezeichnet. Das ist ein oder mehrere Bereiche von IP-Adressen, die einer Region zugeordnet sind. Jede VM hat eine Netzwerkschnittstelle mit einer internen IP-Adresse und einer optionalen externen IP-Adresse, die dem Subnetz zugewiesen wird. Sie können VPC-Firewallregeln konfigurieren, um Verbindungen für die VMs in einem Netzwerk zuzulassen oder abzulehnen. Für jedes Netzwerk gelten Firewallregeln, die alle eingehenden Verbindungen blockieren und alle ausgehenden Verbindungen zulassen. In der Regel kann ein VPC-Netzwerk nur innerhalb seines Projekts verwendet werden. Wenn Sie jedoch dasselbe Netzwerk in mehreren Projekten verwenden möchten, können Sie Freigegebene VPC verwenden.

Zusammenfassend wird jeder Job auf VMs ausgeführt, die IP-Adressen verwenden, um Verbindungen herzustellen, die von den Firewallregeln für das Netzwerk gesteuert werden.

Weitere Informationen zu Netzwerkkonzepten finden Sie in der Compute Engine-Dokumentation unter Netzwerkübersicht und in der VPC-Dokumentation in der Übersicht über die Virtual Private Cloud (VPC).

Zusätzliche Netzwerkeinschränkungen

Zur Verbesserung der Sicherheit kann eine Netzwerkkonfiguration mehr Einschränkungen als nur die Firewallregeln für ihr Netzwerk beinhalten. Ihr Projekt oder Ihre Organisation kann beispielsweise Einschränkungen von Organisationsrichtlinien oder andere Google Cloud-Dienste verwenden, um das Netzwerk einzuschränken.

In den folgenden Abschnitten werden häufige Optionen erläutert, mit denen sich das Netzwerk weiter einschränken lässt:

• Externe Verbindungen für Laufzeitumgebungen von Jobs blockieren
• Netzwerkzugriff für Batch mit VPC Service Controls einschränken

Externe Verbindungen für Joblaufzeitumgebungen blockieren

Sie können externe Verbindungen direkt zu und von der Laufzeitumgebung eines Jobs mit einer der folgenden Optionen blockieren:

• Blockieren Sie den externen Zugriff für alle VMs für einen Job. Blockieren Sie den externen Zugriff für die VMs eines Jobs, um einen Job zu erstellen, der auf VMs ohne externe IP-Adressen ausgeführt wird. Diese Option ist oft für ein Netzwerk oder Projekt erforderlich oder optional, um die Sicherheit zu verbessern.

  VMs ohne externe IP-Adressen können nur über ihre internen IP-Adressen von einem anderen Knoten im selben Netzwerk aufgerufen werden. Daher müssen Sie den Zugriff auf diese VMs so konfigurieren:

  • Wenn Sie einen Job auf VMs ohne externe IP-Adressen ausführen möchten, gewähren Sie mit Cloud NAT oder dem privaten Google-Zugriff Zugriff auf die Domains der APIs und Dienste, die der Job verwendet. Beispielsweise nutzen alle Batchjobs die Batch API und die Compute Engine API und oft auch die Cloud Logging API.

  • Wenn Sie oder andere Nutzer eine Verbindung zu VMs ohne externe IP-Adressen herstellen müssen, finden Sie in der Compute Engine-Dokumentation unter Verbindungsoption für nur interne VMs auswählen weitere Informationen.

• Blockieren Sie den externen Zugriff für einen oder mehrere Container für einen Job. Wenn ein Job Container verwendet und den externen Zugriff noch nicht für alle VMs blockiert, können Sie festlegen, ob er für jeden Container blockiert werden soll. Diese Option ist optional. Sie kann verwendet werden, um die Sicherheit zu erhöhen, wenn Sie das Netzwerk für einen Job angeben oder einen Job erstellen, der die Standardnetzwerkkonfiguration verwendet.

Batch-Ressourcen und -Daten mit VPC Service Controls schützen

Zusätzlich zum Blockieren des externen Zugriffs für alle VMs für einen Job können Sie das Netzwerk mit VPC Service Controls optional weiter einschränken.

Im Gegensatz zu den anderen in diesem Dokument erläuterten Netzwerkoptionen, die das Netzwerk nur für die VMs oder Container einschränken können, auf denen Jobs ausgeführt werden, können Sie mit VPC Service Controls den Netzwerkzugriff auf die Ressourcen und Daten für Google Cloud-Dienste wie Batchjobs und -daten einschränken.

Mit VPC Service Controls können Sie Perimeter erstellen, die die von Ihnen angegebenen Ressourcen und Daten der Google Cloud-Dienste schützen. Der Dienstperimeter trennt die ausgewählten Dienste und Ressourcen und blockiert Verbindungen mit Google Cloud-Diensten außerhalb des Perimeters sowie alle Verbindungen aus dem Internet, die nicht explizit zulässig sind. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls und VPC Service Controls mit Batch verwenden.

Standard-Netzwerkkonfiguration

Wenn Sie einen Job erstellen und keine Netzwerkoptionen angeben, verwenden die VMs des Jobs das Standardnetzwerk und das Subnetz für den Standort der VM.

Jedes Projekt hat ein Standardnetzwerk mit dem Namen default, es sei denn, Sie löschen es oder deaktivieren es mit der Einschränkung compute.skipDefaultNetworkCreation der Organisationsrichtlinie. Das Standardnetzwerk ist ein Netzwerk im automatischen Modus und hat daher in jeder Region ein Subnetz. Zusätzlich zu den implizierten Firewallregeln für jedes Netzwerk enthält das default-Netzwerk auch bereits Firewallregeln, die den Zugriff für gängige Anwendungsfälle erlauben. Weitere Informationen finden Sie in der VPC-Dokumentation unter Voreingestellte Regeln im Standardnetzwerk.

Verwenden Sie die Standardnetzwerkkonfiguration, wenn Sie für einen Job keine Netzwerkanforderungen haben und kein Netzwerk konfigurieren möchten. Weitere Informationen zur Verwendung der Standard-Netzwerkkonfiguration finden Sie in diesem Dokument unter Wann muss ich das Netzwerk konfigurieren?.

Nächste Schritte

• Konfigurieren Sie das Netzwerk für Batch:
  • Das Netzwerk für einen Job angeben
  • Externen Zugriff für einen Job blockieren
  • VPC Service Controls mit Batch verwenden
• Informationen zum Erstellen eines Jobs mit der Standardnetzwerkkonfiguration finden Sie unter Basisjob erstellen und ausführen.
• Sie können den Zugriff auf einen Job auch mit einem benutzerdefinierten Dienstkonto steuern.